NCHコーポレーション従業員福利厚生プランの会員、ならびにアラスカ州のFoundation Health Partnersおよびカリフォルニア州のOne Community Healthの患者に影響するセキュリティインシデントにより、個人情報および保護対象の医療情報が侵害されました。
NCHコーポレーション
世界的な産業向けソリューション提供企業であるNCHコーポレーションは、同社の従業員福利厚生プランの会員3,098人の保護対象医療情報が侵害されたことを発表しました。NCHコーポレーションは同規模の多くの組織と同様に、業務運営の管理を支援するためにOracleのE-Business Suite(EBS)ソフトウェアを使用しています。
ソフトウェアに存在したこれまで未知の脆弱性(CVE-2025-61882)が脅威アクターに悪用され、Oracle EBSアプリケーションへのアクセスを獲得され、機微なデータが持ち出されました。NCHコーポレーションは、2025年中頃から後半にかけてこの手口で攻撃を受けた複数の組織の一つでした。NCHコーポレーションのデータ侵害通知書には記載されていませんが、これはゼロデイ脆弱性の悪用を得意とするCl0pランサムウェアグループによる大規模な悪用でした。
第三者のサイバーセキュリティ専門家の支援を受け、NCHコーポレーションは脆弱性が8月中旬に悪用されたことを特定し、脅威アクターが氏名、生年月日、社会保障番号、ならびに給付選択情報を取得したと判断しました。NCHコーポレーションは、Oracleが開発したパッチを適用して脆弱性を解消し、セキュリティ向上のためのその他の対策も実施しました。影響を受けた個人には、無料のクレジット監視および身元盗用保護サービスが提供されています。
Foundation Health Partners
アラスカ州の地域所有・運営の医療システムであるFoundation Health Partners(FHP)は、2025年11月の郵送事故により、限定的な患者情報が不適切に開示されたことについて、特定の患者に通知しました。FHPは、Fairbanks Memorial Hospital、Tanana Valley Clinic、Denali Center、および州内の複数の外来クリニックを運営しています。
2025年11月14日、FHPは書簡が誤った住所に郵送されたとの通知を受けました。調査が開始され、2025年11月13日に、FHPのクリニックから医療提供者が退職することを患者に知らせるための郵送において誤りがあったことが確認されました。いずれのケースでも、書簡は誤った住所に送付され、患者の氏名と、特定のFHPクリニックにおけるその患者のステータスが含まれていました。FHPは、今後同様の事故を防ぐため、関係者に追加の研修を実施し、郵送手順を見直して、郵送先住所の正確性を確認するための追加チェックを含めたと述べています。本件はまだHHS(米国保健福祉省)の公民権局の侵害ポータルに掲載されていないため、現時点では影響を受けた人数は不明です。
One Community Health
カリフォルニア州サクラメントに拠点を置くOne Community Healthは、医療クリアリングハウスであるTrizetto Provider Solutionsにおけるサイバーセキュリティインシデントの影響を受けたことを確認しました。Trizettoのデータ侵害では、One Community Healthを含む一部の医療クライアントが使用するウェブポータルに、2024年11月から2025年10月の間に不正アクセスがありました。Trizettoは2025年10月2日に侵入を発見し、脅威アクターが過去の適格性取引レポートにアクセスしていたことを最近One Community Healthに通知しました。
それらのレポートには、氏名、住所、生年月日、社会保障番号、健康保険情報、主たる被保険者または扶養家族の情報、その他の人口統計情報および健康情報などの保護対象医療情報が含まれていました。 影響を受けた個人には、無料のクレジット監視、詐欺に関する相談、ならびに身元盗用復旧サービスが提供されています。 現時点では、影響を受けたOne Community Healthの患者数は不明です。
翻訳元: https://www.hipaajournal.com/nch-corporation-foundation-health-partners-one-community-health-breach/
